Autenticacion Jwt

3. Implementar repository

• Buscar usuario por email/username
• Crear usuario
• Persistir y revocar refresh tokens

4. Implementar service

• register_user: validar unicidad y hash con bcrypt
• authenticate_user: verificar password con bcrypt
• create_access_token y create_refresh_token
• rotate_refresh_token y revoke_refresh_token

5. Implementar router

• POST /auth/register
• POST /auth/login
• POST /auth/refresh
• POST /auth/logout
• GET /auth/me

6. Implementar autorizacion

• get_current_user desde JWT access
• require_roles para rutas protegidas
• Guardar solo claims minimos y expiracion en JWT

7. Endurecimiento de seguridad

• No retornar detalles sensibles en errores
• Limite de intentos y rate limiting si aplica
• Expiracion corta para access token
• Rotacion y revocacion para refresh token

8. Testing

• Unit tests para hash, token y validaciones
• Integration tests para flujos register/login/refresh/logout
• Casos negativos: token vencido, rol invalido, credenciales incorrectas

Logica de decision

• Si la app es cliente movil/web con sesiones largas: usar refresh rotativo.
• Si es servicio interno de corta vida: access token corto puede bastar.
• Si una ruta es critica: combinar role check + ownership check.

Criterios de calidad

• Password nunca se almacena en texto plano
• JWT firmado con clave segura y expiraciones claras
• Autorizacion centralizada y reutilizable
• Cobertura de pruebas para happy path y edge cases

Formato de salida esperado

• Codigo organizado en router, service, repository, schemas y models
• Variables de entorno requeridas para JWT y seguridad
• Lista de endpoints con ejemplos de request/response